為了保護持卡人資料,符合 PCI 標準的公司遵循一套信用卡資料安全標準,稱為 PCI DSS。探索 PCI 合規性為何對所有處理卡付款的組織都很重要。
閱讀本文後,您將能夠:
複製文章連結
支付卡產業 (PCI) 合規性意味著遵守一套適用於持卡人資料的安全政策。所有使用信用卡、轉帳卡及/或預付卡處理交易的組織都必須遵循 PCI 合規性要求。
信用卡資料需要保持秘密才能確保安全,並且符合 PCI 規定意味著可以信任公司對該資料保密。就像房主不會將自己的房屋鑰匙借給他們無法信任的人一樣,如果商家未能確保資料安全,信用卡品牌也不會信任擁有支付卡資料的商家。
如果企業儲存、處理或傳輸信用持卡人資料(無論是透過網際網路、電話、應用程式、紙上或親自),他們都必須遵循一套規則來保護有關這些付款的資訊。
儘管美國聯邦法律不要求 PCI 合規性,但信用卡公司可能會向無法適當確保持卡人資料安全的企業收取違規費用。更重要的是,未能保護持卡人資料可以使犯罪分子更容易竊取該資料。這種盜竊是一種重大風險。根據 Nilson Report 的預測,在未來 10 年內,全球支付卡產業預計將在全球因欺詐而損失累計 3970 億美元。
PCI DSS 代表「支付卡產業資料安全標準」(PCI DSS)。PCI DSS 框架為企業提供強大的流程,以保護持卡人交易資料和卡片認證資訊的安全性。它旨在保護持卡人資料和認證資料,要求幫助防止、偵測和對安全事件做出反應。
PCI 合規性適用於全球所有接受信用卡、轉帳卡或預付卡的商家。這意味著各種規模的企業,從角落咖啡店到跨國設計師服裝品牌,即使他們使用第三方進行交易處理,也必須遵循 PCI 合規性。
PCI DSS 處理的持卡人交易資料包括:
PCI DSS 涵蓋的敏感認證資料包括:
PCI DSS 框架包含 12 項基本要求(具有 300 多項子要求):
PCI DSS 和相關的安全標準由 PCI 安全標準委員會 (PCI SSC) 管理,這是一個由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 成立的行業組織,還包括商家、支付卡發卡銀行、處理商、開發商和其他廠商。
第一個版本 PCI DSS 1.0 是在 2004 年推出的。2006 年,PCI SSC 發布了 1.1 版,該版本要求商家審查所有線上應用程式並建立防火牆以增加安全性。
多年來,PCI DSS 不斷發展,以應對卡片處理生態系統中出現的資料外洩和漏洞。截至 2024 年 3 月 31 日,現行的 4.0 版本成為唯一作用中版本,3.2.1 版本已封存。
PCI DSS v4.0 於 2022 年發布,旨在「解決新興威脅和技術,並啟用創新方法來應對新威脅」。組織必須在 2025 年 3 月 31 日之前符合所有 PCI DSS v4.0 的要求。
雖然核心 PCI DSS 需求並未從根本上改變,但新版 v4.0 更加關注安全性控制的實作方式。變更範例包括:
以下是從 3.2.1 版到 4.0 版的主要變更摘要。
PCI 合規性由負責付款處理的信用卡品牌強制執行。當商家(例如,接受支付卡作為商品和服務付款方式的人)每年進行一定數量的支付卡交易時,他們需要填寫完整的 PCI DSS 合規報告。如果他們不這樣做,他們將受到罰款。
PCI DSS 懲罰基於許多因素,例如違規的嚴重性、修正或補救問題所花費的時間,以及是否有違規行為。如果公司仍然不符合 PCI 規範,他們也有可能無法使用信用卡在其系統內進行任何付款。
PCI DSS 根據他們在 12 個月期間處理的卡交易數量,將公司(或「商家」,如標準所稱)劃分為四個級別。
這四個級別*是:
商家獲得 PCI 合規認證的方式根據其級別而變化。一般來說,他們處理的交易越多,合規性稽核要求就越嚴格。
例如,2-4 級商家填寫並提交年度自我評估問卷 (SAQ)。根據商家處理支付卡資訊的方式,有不同的 SAQ 類型。組織應參考 SAQ 指示和準則,以協助判斷哪些(如有)SAQ 適用於其組織。可在此處找到 v4.0 中 SAQ 要求差異的摘要。
每年處理六百多萬筆交易的一級商家(例如 Cloudflare)每年接受一次稽核。一級商家必須收到 PCI SSC 合格安全評估機構 (QSA) 或 PCI SSC 內部安全評估機構 (ISA) 出具的合規性報告。一級商家的此程序每年進行一次或每季一次,具體取決於卡片公司。一級商家也可能會進行現場資料安全評估。
最後,所有商家都需要填寫並提交合規證明 (AOC) 表格,該表格基本上是向信用卡公司發出的聲明,表明商家符合 PCI 規範。
*這些定義大多是準確的,但每個信用卡品牌的定義和評估合規性略有不同。與每個信用卡公司檢查其具體計劃標準是很重要的。
Cloudflare 符合 PCI DSS Level 1 相關規範,自 2014 年以來一直符合 PCI 規範。我們的許多客戶還要求我們提供 AOC 的副本,這基本上告訴信用卡公司我們符合 PCI 規範。如果我們沒有此認證,我們將無法與某些客戶合作,我們的收單銀行也不允許我們使用支付卡作為我們服務的付款方式。
我們還透過自己的網站和應用程式幫助客戶維護安全性。以下是 Cloudflare 如何幫助企業滿足某些 PCI DSS 要求的一些範例:
深入瞭解 Cloudflare 的網站和應用程式安全服務以及全球連通雲的內建安全性、隱私權和合規性功能。